Skip to main content

Wo stehen die Server von mailbox.org

Die Server von mailbox.org stehen an zwei verschiedenen Berliner Standorten, zu denen wir gesicherten physikalischen Zugang besitzen. Wir nutzen mehrere, separate Internetanbindungen verschiedener Anbieter. Hohe Durchsatzraten, große Datenvolumen, kurze Routingstrecken: Bei unserer Standortwahl war neben dem deutschen Rechtsraum nicht der Preis, sondern die Qualität das wichtigste Kriterium.

So sind biometrische Zugangskontrollen, physikalisch mehrfach redundante Stromversorgung und Kühlung sowie die lückenlose Überwachung der Systeme als internationaler Standard in unseren Rechenzentren selbstverständlich.

Kein ping / traceroute an mailbox.org möglich?

Versierteren Benutzern ist es schon aufgefallen: die Server von mailbox.org kann man weder anpingen, noch über traceroute erreichen:

traceroute to mailbox.org (80.241.60.194), 64 hops max, 52 byte packets [...] 4 92.79.213.138 (92.79.213.138) 29.428 ms 33.902 ms 38.099 ms 5 ve3405.bbr1.ams1.nl.inetbone.net (195.69.144.155) 28.209 ms 30.601 ms 30.988 ms 6 ve3001.car1-ber1.mesh.eu (213.203.213.76) 39.278 ms 41.699 ms 39.993 ms 7 gate-1.heinlein-hosting.de (87.119.196.100) 42.703 ms 44.108 ms 42.850 ms 8 * * * 9 * * *

An unserer äußeren Firewall (alias: „gate-1/2.heinlein-hosting.de“) ist Schluss. Das bedeutet natürlich nicht, dass unsere Server abgeschaltet oder nicht erreichbar sind, sondern vielmehr, dass hier Firewall-Administratoren am Werk sind, die ihr Handwerk verstehen.

Unsere internen Netzwerkstrukturen und -aufbauten gehen niemanden draußen etwas an. Und darum gilt: ja, unsere Server kann man nicht sehen. It’s not a bug, it’s a feature! Aber trotzdem sind sie online und erreichbar.

Unsere Firewall blockiert Ihre Anfragen?

Es ist für uns Serverbetreiber immer ein Spagat, wie man mit Client-IP-Adressen umgeht, von denen verdächtig viele Logins mit falschen Passwörtern ankommen oder ungewöhnlich viele nicht-erfolgreiche Verbindungsaufbauten an unsere Server gehen. Unsere mailbox.org-Firewalls sind hier etwas sensibler als üblich. Wir sperren IPs, wenn es Hinweise darauf gibt, dass von dort Passwörter ausprobiert werden (Brute-Force-Attacke) oder über Verbindungsanfragen versucht wird, unser Netz zu kompromittieren.

Leider ist es so, dass derzeit ein traceroute auf unsere Server in Einzelfällen bereits eine Sperre auslösen kann; die fragliche IP wird dann für ca. 15 Minuten von unserer Firewall geblockt.
Auch versuchen manche E-Mail-Clients im „Auto-Mode“ Hostnamen und Postfach-Parameter unserer Server zu erraten und erzeugen dann in sehr kurzer Zeit sehr viele Verbindungsaufbauten mit ggf. sogar sehr vielen falschen Passwörtern, wenn sich der Nutzer vertippt hat.

Auch haben wir ab und zu das Problem, dass ausgerechnet neue Nutzer, die z.B. gerade mit der Programmeinrichtung beschäftigt sind, für eine Viertelstunde ausgesperrt werden - was natürlich auch für Unverständnis, Verwirrung und Ärger sorgt. Dieses Problem hat aber nur mit der Programmeinrichtung zu tun und nicht mit dem laufenden Zugriff später.

Gesperrte IP-Adressen werden automatisch nach 15 Minuten wieder freigeschaltet. Wir verstehen und sehen auch, dass dieses Verhalten nicht gewollte Nebeneffekte hat, arbeiten hier aber noch etwas an den Feineinstellungen, um ein sinnvolles Maß zu finden, da dieses Verhalten bezeichnend für bestimmte Mailprogramme ist.